AUTORIZACIÓN DE PROCEDIMIENTOS DE IDENTIFICACIÓN NO PRESENCIAL MEDIANTE VIDEOCONFERENCIA

Desde el pasado 1 de marzo de 2016 ha entrado en vigor la autorización del Servicio Ejecutivo de la Comisión de Prevención del Blanqueo de Capitales e Infracciones Monetarias (SEPBLAC) para el uso de la videoconferencia como procedimiento de identificación de clientes.

Las nuevas tecnologías deben facilitar el trabajo y además ahorrar costes. Es por ello que nuestra legislación en materia de prevención del blanqueo de capitales y de la financiación del terrorismo (tanto la Ley 10/2010, como su Reglamento desarrollador) apuestan por ellas.

Partiendo de esta premisa y dando debido cumplimiento a lo dispuesto en el artículo 21.1 d) del Reglamento de la Ley 10/2010, se establecen en la autorización del SEPBLAC los parámetros bajo los cuales los sujetos obligados podrán utilizar la videoconferencia para identificar a aquellos de sus clientes a los que no puedan identificar presencialmente.

En su introducción, esta última autorización mediante videoconferencia liga la innovación tecnológica con el sector financiero, pero se indica que se autoriza a los sujetos obligados sin detallar a cuáles, por lo que debemos entender que deben ser todos.

Esta autorización viene a completar la de 22 de mayo de 2015 sobre procedimiento de identificaciones no presenciales -en vigor desde el pasado 1 de junio de 2015- ideada sólo para entidades participantes del Sistema Nacional de Compensación Electrónica.

 ¿Qué debe tener en cuenta el sujeto obligado que opte por la videoconferencia para identificar a sus clientes?

– Con carácter previo:

-Solicitar los documentos fehacientes de identificación a que se refiere el artículo 6 del Reglamento de la Ley 10/2010.

-Realizar el análisis de riesgo del cliente.

-Se debe documentar el procedimiento que se va a llevar a cabo para la videoconferencia y probar la eficacia, anotando por escrito los resultados. Si las pruebas no acreditan la eficacia, se deberá desistir de este procedimiento de identificación.

-Deberá implantar requerimientos técnicos idóneos que aseguren la autenticidad, vigencia e integridad de los documentos de identificación utilizados y la correspondencia del titular con el cliente objeto de identificación.

-La identificación deberá gestionarse por personal con formación específica.

-Verificar que el cliente no está sometido a sanciones o contramedidas financieras internacionales.

– Durante la videoconferencia:

-Deberá quedar constancia de la fecha y hora de la grabación y conservarla por un período mínimo de 10 años.

-El cliente debe consentir expresamente la grabación, con carácter previo o en el curso de la misma. Evidentemente, se le deberá informar, conforme al artículo 5 de la Ley Orgánica de Protección de Datos 15/1999 (LOPD) de:

-La existencia de un fichero o tratamiento de datos de carácter personal, de la finalidad de la recogida de éstos y de los destinatarios de la información.

-El carácter obligatorio o facultativo de su respuesta a las preguntas que les sean planteadas.

-Las consecuencias de la obtención de los datos o de la negativa a suministrarlos.

-La posibilidad de ejercitar los derechos de acceso, rectificación, cancelación y oposición.

-La identidad y dirección del responsable del tratamiento o, en su caso, de su representante.

-Adoptar medidas de seguridad que acrediten la privacidad de la conversación mantenida con el cliente. En este sentido también será de aplicación lo dispuesto al respecto en la LOPD.

-El cliente deberá mostrar los documentos fehacientes en su anverso y reverso.

-Deberá obtener y conservar (durante un período mínimo de 10 años) fotografía o instantánea del documento de identificación, tanto anverso como reverso, y que éste reúna condiciones de calidad y nitidez para posibles futuras investigaciones o análisis.

Evidentemente, no podrá completarse el proceso de identificación en el caso de que:

-Existan indicios de falsedad o manipulación del documento de identificación.

-Existan indicios de falta de correspondencia entre el titular del documento y el cliente objeto de identificación.

-Las condiciones de la comunicación impidan o dificulten verificar la autenticidad e integridad del documento de identificación y la correspondencia entre el titular del documento y el cliente objeto de identificación.

– Otras consideraciones:

La videoconferencia podrá ser externalizada, si bien la responsabilidad será del sujeto obligado. En este sentido se deberá cumplir con los requisitos del artículo 12 de la LOPD, y el artículo 20 de su Reglamento (RD 1720/2007) si la externalización implica acceso a datos de carácter personal. Este tercero será considerado encargado del tratamiento y, por tanto, deberá suscribirse un contrato de protección de datos entre el sujeto obligado (responsable del fichero) y el tercero contratado para la videoconferencia (encargado del tratamiento). En este contrato se establecerá que el encargado del tratamiento únicamente tratará los datos conforme a las instrucciones del responsable del fichero, que no los aplicará o utilizará con fin distinto al que figure en dicho contrato, ni los comunicará, ni siquiera para su conservación, a otras personas. Asimismo, se estipularán las medidas de seguridad que el encargado del tratamiento está obligado a implementar. Una vez cumplida la prestación contractual, los datos de carácter personal deberán ser destruidos o devueltos al responsable del fichero, al igual que cualquier soporte o documentos en que conste algún dato de carácter personal objeto del tratamiento.

En sus informes, el experto externo deberá pronunciarse sobre la eficacia y adecuación operativa del sistema de videoconferencia implantado por el sujeto obligado, así como de la formación recibida por los empleados para identificar por estos medios a los clientes.

 VICTOR-2 

Víctor ALTIMIRA, Socio-Abogado y Presidente de INBLAC  (Instituto de Expertos en Prevención del Blanqueo de Capitales y de la Financiación del Terrorismo).

RESUMEN NOTICIAS MAYO 2015

EL “PODER” DE LAS REDES SOCIALES

No sólo las empresas y particulares (…o deportistas, o gente del show-business o personas de relevancia profesional) tienen perfil en las Redes Sociales (RRSS), sobre todo en “Twitter”; también muchos de nuestros políticos. Aunque nos quede la duda de si son ellos mismos (y no nos referimos sólo a nuestros representantes públicos) los que atienden y responden a la totalidad de las comunicaciones de sus seguidores (o a las de aquellos que, sin serlo, se dirigen a ellos mediante su cuenta pública “@…..”) o es un mero -y no simple y nada trivial- trabajo de gestión de sus “community manager”.

Lo cierto es que, “si te expones” en las RRSS, te expones para lo bueno y para lo malo. Y la gestión de los contenidos en tu perfil no siempre es tarea sencilla.

  • ¿Debo responder a todo?
  • ¿No?
  • ¿Responder de inmediato?
  • ¿Dejar “que amaine la tormenta”, si  el comentario es negativo?
  • ¿Ignorar una crítica?
  • ¿No?

El trabajo de un “community manager” no es sencillo. Debe enfatizar, conocer bien y proyectar a su “representado”, como si fuera él mismo quien lee y responde a los mensajes (o a la mayoría de ellos). De otro modo, las “meteduras de pata”, o lo que es peor, los perjuicios a la imagen y/o reputación del titular, pueden ser graves. Y ya no hablemos de la imagen de un representante público, ya sea municipal, autonómico o nacional. Son legendarios algunos twitts “desafortunados” (… por denominarlos de algún modo poco hiriente).

Pero el ciudadano de a pie también sabe utilizar las RRSS, conocedor como es del poder de éstas, y del “efecto altavoz-caja de resonancia” que puede tener su queja, su reivindicación, en las RRSS (y qué decir si ésta se hace en pleno período electoral y se le dirige a un representante público). Hemos conocido el caso un ciudadano -que no era seguidor de un edil- que se dirigió a éste vía Twitter para notificarle, en forma de preocupación y de queja, una anomalía viaria . Al no recibir respuesta, se la reiteró a los dos días:  la misma tarde de este segundo tweet, la anomalía viaria -que llevaba ahí varios meses, peligrosamente para los transeúntes y vehículos- ya estaba reparada (“parcheada” sería una mejor definición, aunque se había solucionado el tema de la peligrosidad que perseguía resolver el ciudadano).

¿Acción-reacción?.

  • ¿Buena gestión de la cuenta de Twitter por parte del edil, o de su “community manager”?
  • ¿Debió ser contestado el tweet del ciudadano?
  • ¿No decirle nada fue una buena opción?
  • ¿Tuvo incidencia el tweet en la posterior inminente reparación, o lo atribuimos a una casualidad temporal?
  • ¿Estar en período electoral pudo contribuir a esta “celeridad”?

El caso es que, si tienes una cuenta en las RRSS, debes saber gestionarla. Y para ello no hay recetas únicas.

Así, en el ámbito corporativo de empresa, se hace del todo imprescindible el tener redactada una POLÍTICA DE USO DE LAS REDES SOCIALES  (RRSS)  CORPORATIVAS y, sobre todo, regular en ésta los aspectos legales a tener en cuenta en la presencia de la empresa en las RRSS en cuanto a normativa de “protección de datos”, “ley de servicios de la sociedad de la información”, “protección al honor, imagen e intimidad”, “propiedad intelectual e industrial”…

Podemos ayudarles en su elaboración y redactado: somos especialistas en Derecho digital  (TIC)

Todo ello con independencia de que también deba tener en cuenta su empresa, en la redacción de esta Política, aspectos como:

  • ¿Quién de la empresa puede abrir un perfil en nombre de ésta?
  • ¿Quién gestionará las respuestas?
  • ¿Entramos a debatir?
  • ¿Desmentimos?
  • ¿Necesitamos un “Comité 2.0″ para situaciones de “crisis en la red”?
  • ¿Buscamos un “community manager” externo…?.

La reputación “on line” de su empresa (y la no virtual) está en juego.

PROTECCIÓN DE DATOS

* REUTILIZACIÓN DE LA INFORMACIÓN DEL SECTOR PÚBLICO. En el marco de la 7ª SESIÓN ABIERTA AEPD,  y entre otros temas, la Agencia anunció la elaboración del borrador de una Guía sobre la protección de los datos personales en la reutilización de la información del sector público que se publicará en su página web y que será sometido a consulta.

“El documento incluirá orientaciones prácticas para contribuir de forma equilibrada a favorecer la reutilización de la información del sector público minimizando los riesgos que pueda implicar para los ciudadanos” indicó el Director de la AEPD, José Luis Rodríguez Álvarez.

La Guía prestará especial atención a las posibilidades y las condiciones en las que deben utilizarse las soluciones para compatibilizar la reutilización de la información pública con la protección de los datos personales (entre las que ocupan un lugar muy destacado las técnicas de anonimización), para evitar o minimizar el riesgo de que las personas puedan ser reidentificadas a partir de la información entregada por los poderes públicos (el avance de las tecnologías de interrelación y análisis de datos, y el constante crecimiento de la información disponible hacen que la anonimización irreversible resulte cada día más difícil de asegurar). De ahí que resulte esencial evaluar en cada caso el riesgo de reidentificación atendiendo a las circunstancias y la elección de la técnica más eficaz.

Con esta nueva publicación la AEPD da continuidad al sistema de participación abierto utilizado en la anterior Sesión, cuando la Agencia publicó el borrador de la Guía de Evaluación de Impacto en la Protección de Datos Personales

* PROPAGANDA ELECTORAL Y PROTECCIÓN DE DATOS.Pongamos que tu unidad familiar la componen 3 personas, las 3 con derecho legal a voto; y resulta que…

Recibes por correo TRES sobres, a nombre y dirección exactos de cada una de las tres, del partido “X”.

Y recibes otros TRES sobres a nombre y dirección exactos de cada una de las tres, del partido “Y”.

Y recibes otros TRES sobres a nombre y dirección exactos de cada una de las tres, del partido “Z”.

Y recibes otros TRES sobres de otro partido, y de otro, y de otro…

¿De dónde sacan los partidos políticos la información EXACTA de tus datos personales?.

¿Quién se los proporciona?.

¿Cualquier partido, grande o pequeño, nuevo o “tradicional”, puede tener acceso a tus datos personales para el envío de propaganda electoral?.

¿Qué deben hacer los partidos una vez celebradas las elecciones?.

¿Puedes oponerte a recibir propaganda electoral?.

El que los partidos políticos dispongan del censo electoral, copia del cual les es remitida a éstos por el Instituto Nacional de Estadística, es en cumplimiento de lo establecido en el artículo 41 de la Ley Orgánica 5/1985, de 19 de junio, reguladora del Régimen Electoral General. Como punto de partida, el artículo 41.5 de la misma dispone -entre otros- que:

“….los representantes de cada candidatura podrán obtener el día siguiente a la proclamación de candidaturas una copia del censo del distrito correspondiente, ordenado por mesas, en soporte apto para su tratamiento informático, que podrá ser utilizado exclusivamente para los fines previstos en la presente Ley…”.

Por tanto, la cesión de datos de los electores a los candidatos proclamados se encuentra amparada por lo dispuesto en el artículo 11.2 a) de la Ley Orgánica 15/1999, dado que encuentra su legitimación en una norma con rango de Ley, no precisando así del consentimiento del interesados, y legitima igualmente el tratamiento de los datos recibidos por los candidatos contenidos en el censo, si bien especificando claramente que dicho tratamiento lo será “exclusivamente para los fines previstos en la presente Ley”.

La vinculación a la finalidad establecida por el artículo 41.5 de la Ley Orgánica 5/1985 implica que una vez celebradas las elecciones deberá procederse a la supresión de los datos recibidos, que no podrán ser utilizados más que durante la campaña, de forma que al concluir ésta y celebrarse las elecciones, se encontrará vedada cualquier posterior utilización de la información.

¿Puedes oponerte….?. La normativa actualmente vigente habilita únicamente a los electores para ejercer su derecho de oposición de forma excepcional, y en los términos establecidos en el artículo 41.6 de la Ley Orgánica 5/1985, con carácter previo a la cesión y sólo sobre la base de las circunstancias que ese precepto menciona. Por el contrario, dicho régimen no permite ejercer ante las candidaturas el derecho de oposición sobre la mera base del deseo de no querer recibir propaganda electoral, al haber considerado el legislador que prevalece sobre aquél el artículo 23 de la Constitución, con la única salvedad prevista en el artículo 41.6 de la Ley Orgánica 5/1985.

INTERNET – DELITOS INFORMÁTICOS

* LA POCA SEGURIDAD DE LAS “PREGUNTAS DE SEGURIDAD SECRETAS”. “Segundo nombre del padre”… “tu comida favorita”… “cuál fue el nombre de tu primera mascota”… “ciudad donde naciste”…

En un informe elaborado después de hacer una investigación de cientos de millones de preguntas y respuestas secretas usadas por millones de usuarios para la recuperación de cuentas en Google, el buscador ha alertado de lo poco “fiables” que son las preguntas que se usan como filtro de seguridad ante un posible ataque de hackers.

Una de las medidas que Google está barajando para mejorar la fiabilidad de sus cuentas es que el método de preguntas y respuestas secretas sea múltiple, no de una sola pregunta, a pesar de que incorporar más preguntas suponga reducir la posibilidad de los usuarios para recuperar su acceso.

Otra de las recomendaciones para evitar disgustos que da el buscador en su informe es la de que la información para la recuperación de cuentas esté actualizada; paralelamente, también es posible usar otras formas de autenticación, como los códigos de acceso enviados mediante SMS o las direcciones de correo electrónico adicionales, para autenticar a sus usuarios y así ayudarles a volver a tener acceso a sus cuentas. Estos dos métodos son más seguros y ofrecen una mejor experiencia al usuario, según Google.

* RAMSONWARE, el “secuestro exprés de datos” que llega. 2015 ha empezado fuerte a niveles de aumento de cibercrimen, según indican dos informes de las compañías antivirus Kaspersky Lab y PandaLab. Tan solo la primera ha bloqueado 2.200 millones de ataques durante los primeros tres meses de 2015.

Dentro de la ya amplia gama de “troyanos”, el ramsonware (el secuestro exprés de datos) es el que experimenta un mayor incremento. Y aunque este tipo de ataques afectan a todo el mundo, los ciberdelincuentes tratan de ir a por empresas, ya que poseen información valiosa por la que están dispuestos a pagar un módico rescate.

Implantar medidas de seguridad efectivas en los sistemas de información de la empresa, para proteger los datos que ésta posee, no es tan sólo una recomendación: es una obligación.

PREVENCIÓN BLANQUEO CAPITALES

* RECEPTACIÓN Y BLANQUEO. Receptación. 298. 1 Cp: “El que, con ánimo de lucro y con conocimiento de la comisión de un delito contra el patrimonio o el orden socioeconómico, en el que no haya intervenido ni como autor ni como cómplice, ayude a los responsables a aprovecharse de los efectos del mismo, o reciba, adquiera u oculte tales efectos, será castigado”.

Blanqueo 301. 1 Cp: “El que adquiera, posea, utilice, convierta, o transmita bienes, sabiendo que éstos tienen su origen en una actividad delictiva, cometida por él o por cualquiera tercera persona, o realice cualquier otro acto para ocultar o encubrir su origen ilícito, o para ayudar a la persona que haya participado en la infracción o infracciones a eludir las consecuencias legales de sus actos, será castigado”.

Históricamente (1988) el blanqueo surge como un delito absolutamente relacionado con las drogas, postura abandonada en las Convenciones de Viena, Palermo y la de la Corrupción de la ONU de 2003.

El delito de receptación surgió con el aprovechamiento de un ilícito siempre contra el patrimonio o como cierre, por no poder probarse que el tenedor del objeto era el sustractor (p.e. hurto de un teléfono móvil, que poco después se encuentra en manos de alguien, y que no puede demostrar quién se lo ha entregado/vendido y no poderse probar tampoco que esa persona participó materialmente en el delito patrimonial).

(el denominado autoblanqueo es -p.e.- cometer un delito de drogas y, con el dinero obtenido a lo largo del tiempo, comprar un yate).

* INTERVENIDOS MÁS DE 670.000 EUROS DE BLANQUEO DE CAPITALES EN LLEIDA. La Guardia Civil de Lleida ha intervenido 671.682 euros, entre el 1 de enero y el 15 de mayo de este año, en aplicación de la normativa de prevención del blanqueo de capitales, en 34 intervenciones (un 25% menos que en las 49 intervenciones del mismo período de 2014).

La Guardia Civil ha llevado a cabo estas 34 intervenciones de divisas tanto en el recinto aduanero de La Farga de Moles como fuera del recinto, a diferencia de las intervenciones practicadas en el año 2014, que se hicieron todas dentro del recinto aduanero.

RESUMEN NOTICIAS ABRIL 2015

CAUTELAS EN EL USO DE “WHATS APP”, “GOOGLE DRIVE”, “DROPBOX”, Y OTROS, EN LAS EMPRESAS

  Artículo de IRENE LÓPEZ – Socia Directora

Estamos en tiempos de ciberataques y las empresas invierten recursos en la protección de sus sistemas de información. Pero el día a día nos demuestra que los usuarios de estos sistemas tienen a su alcance una serie de herramientas cuyo uso puede resultar una amenaza para la seguridad y confidencialidad de los datos de la empresa.

Deben detectarse vulnerabilidades evidentes, como lo son el uso de aplicaciones de mensajería instantánea o de servicios en la nube (“cloud”) que se han popularizado entre los usuarios a nivel particular y cuya utilización se extiende en las empresas comprometiendo la seguridad de éstas.

Pongamos como ejemplo el uso de WhatsApp por parte de los empleados de una empresa como vía de comunicación con clientes, otros empleados, colaboradores… transmitiendo, a través de este canal, información privada o datos importantes del negocio. WhatsApp tiene serias deficiencias frente a la privacidad y la seguridad; pero, sin embargo, se llega a ofrecer a los clientes como alternativa para el envío de información.

Pensemos también en el uso de servicios de almacenamiento de datos en la nube como Google Drive y Dropbox. Desde el punto de vista de protección de datos personales, cualquier empresa sujeta al cumplimento de esta normativa es responsable del tratamiento de los datos de sus clientes, clientes potenciales… Por lo tanto, al almacenar estos datos en servicios como Google Drive y Dropbox, la empresa debe suscribir con los proveedores el correspondiente contrato de encargado del tratamiento conforme al artículo 12 de la LOPD, hecho que -normalmente- no se lleva a cabo. Además, en las condiciones del servicio que estos proveedores facilitan, prevén la modificación de éstas de modo unilateral por su parte y en cualquier momento, y no concretan el uso que se da a los datos, ni el destino de la información una vez finalice el servicio. Estos servicios, a priori, presentan ciertas garantías de cumplimiento de la normativa de protección de datos, como su adhesión al acuerdo US-EU-Safe Harbor y certificaciones sobre medidas de seguridad (ISO 27001); pero la deslocalización de los datos (ya que en sus políticas se prevé la posibilidad de almacenar información en cualquier parte del mundo) supone una pérdida de control de la información por parte de la empresa. La ausencia de auditorías de protección de datos personales, que establezcan la conformidad de las medidas de seguridad que establece el Reglamento de la LOPD, hace que estos servicios presenten carencias que pueden afectar a la seguridad y confidencialidad de la información almacenada.

Por lo tanto, hay que reflexionar a la hora de compartir documentos relevantes, datos de carácter personal o información que pueda comprometer el negocio en este tipo de aplicaciones o servicios, y determinar qué otras herramientas se encuentran en el mercado para cubrir las necesidades de la empresa y que presentan menos riesgos para nuestro negocio, tras el estudio de las opciones de privacidad y seguridad que nos ofrecen.

Es indudable la necesidad de formar al usuario, que también debe aprender a protegerse y ser consciente de que la seguridad en el negocio depende también de él mismo, además de establecer -por la empresa- normas internas de uso de los recursos informáticos y llevar a cabo un control sobre su cumplimiento.

PROTECCIÓN DE DATOS

LA AEPD RESUELVE COMO INFRACCIÓN LEVE LA NO COLOCACIÓN DE CARTELES INFORMATIVOS DE VÍDEO-VIGILANCIA EN PRISIONESconcluyendo así el expediente abierto contra Instituciones Penitenciarias por las supuestas anomalías detectadas en el sistema de vídeo-vigilancia de las 70 cárceles españolas. Según la resolución, se considera que el Ministerio del Interior ha vulnerado el artículo 5.1 de la LOPD, que obliga a colocar en las zonas vídeo-vigiladas distintivos informativos ubicados en lugar suficientemente visible, y a tener a disposición de las personas que pudieran resultar grabadas impresos con la información relacionada con sus derechos en este sentido. El fallo da a Instituciones Penitenciarias un mes de plazo para subsanar la deficiencia.

MAXIMILLIAN SCHREMS y su demanda contra FACEBOOK ¿Recordáis la conocida como “ley Bosman”?. Fue un “David contra Goliat”, versión años 90. Bosman era un modesto jugador de la Primera División de la Liga belga de fútbol, cuya demanda originó la sentencia del Tribunal de Justicia de la Unión Europea, el ya lejano 15 de diciembre de 1995, que declaraba ilegales las indemnizaciones por traspaso y los cupos de extranjeros de jugadores nacionales de estados miembros de la Unión Europea (UE).

Pues bien… ¿veremos pronto una futura “Ley Schrems”?.

Éste es el nombre de este joven abogado austriaco que ayer, 9-4-2014, interpuso -y fue aceptada por el Tribunal de Viena- una demanda colectiva contra Facebook en la que acusa al gigante estadounidense de vulnerar el derecho europeo de protección de datos y de no proteger la privacidad de los usuarios ante la Agencia Nacional de Seguridad de Estados Unidos (NSA).

A través de su plataforma Facebook claim, él y otros 25.000 usuarios (limitó él mismo el número) reclaman el cese de la vigilancia masiva que ejerce.

Schrems también creó el proyecto Europe vs. Facebook a favor de la revisión del acuerdo Safe Harbor, el pacto de intercambio de datos que firmaron Estados Unidos y la Unión Europea en el año 2000.

AUNQUE NO TENGAS CUENTA EN FACEBOOK, FACEBOOK “TE RASTREA”, según se indica en un reciente informe elaborado por la Agencia de Privacidad belga, instalando una cookie cuando consultas sitios web con el dominio “facebook.com“, aunque estos sitios web sean abiertos al público -páginas de negocios, deportistas, famosos- y no necesiten de una cuenta de Facebook para poder ser visitados. En este caso, Facebook instala un archivo -llamado datr.- que informa a la red social de todos los sitios web visitados que tienen el botón de “Me gusta” incorporado, aún cuando el visitante no le haya dado al botón.

Según el informe, Facebook estaría “violando” la Directiva de protección de datos de la Unión Europea, ya que “no cumplen con los requisitos” de la normativa europea, y más concretamente los del artículo 5 (3) de la Directiva de la UE sobre privacidad y comunicaciones electrónicas, ya que en él se explicita que se requiere el consentimiento previo, libre e informado del individuo antes de llevar a cabo el rastreo de su dispositivo.

A preguntas de “The Guardian”, la red social se ha defendido de la acusación asegurando que la información revelada por el estudio es “incorrecta”:

-“Virtualmente todas las páginas web, incluida Facebook, usan legalmente cookies para ofrecer servicios…

-“Si la gente quiere dejar de recibir publicidad basada en las páginas que visitan, pueden hacerlo a través del (acuerdo) EDAA”, pactado entre más de 100 compañías y la Unión Europea”…

-“Decepcionados con la opinión de la Agencia de Protección de Datos belga (…) que se ha negado a reunirse con nosotros o a clarificar la información incorrecta sobre éste y otros asuntos”…

Dos de los seis autores del estudio han afirmado al periódico británico que:

-“hasta la fecha no hemos sido contactados directamente por Facebook, ni hemos recibido ninguna solicitud de encuentro. No nos sorprende que Facebook tenga una opinión distinta sobre lo que requieren las leyes europeas de protección de datos. Pero si Facebook cree que el informe contiene errores, estaremos encantados de recibir cualquier observación específica que quiera hacer”.

AMAZON OFRECERÁ UN NIVEL DE SEGURIDAD EUROPEO DE PROTECCIÓN DE DATOS. Amazon Web Services (AWS) y el Grupo de Trabajo del Artículo 29, han aprobado el Acuerdo de Procesamiento de Datos (APD) de AWS, lo que asegura a sus clientes el cumplimiento de los niveles de seguridad de la normativa europea en protección de datos. La aprobación del APD de AWS, que enuncia las cláusulas contractuales estándar (frecuentemente denominadas “cláusulas modelo”), significa que los clientes de AWS que deseen transferir datos personales desde el Espacio Económico Europeo (EEE) a otros países pueden estar totalmente seguros de que su contenido en AWS tendrá el mismo alto nivel de protección que reciben en el EEE.

DERECHO AL OLVIDO: CASI UN AÑO DESPUÉS. La Audiencia Nacional ha dictado en un año 72 sentencias sobre el derecho al olvido, en 54 de las cuales (un 75%) ha ordenado retirar los enlaces de los resultados de búsqueda. La aplicación de la sentencia del Tribunal de Justicia de la Unión Europea (TJUE) “no implica en ningún caso eliminar la información original, que continúa intacta en la web que lo publicó y que sigue siendo accesible a través del buscador realizando la búsqueda por cualquier otro término que no sea el nombre del afectado”. De acuerdo con datos proporcionados por Google en Enero, habían recibido un total de 18.567 solicitudes en España para borrar enlaces siguiendo las directrices marcadas por el TJUE sobre el derecho al olvido. Las solicitudes de petición de este derecho comenzaron a final de mayo de 2014.

DELITOS INFORMÁTICOS

POSIBLE “PHISHING” DURANTE LA CAMPAÑA DE RENTA. Para prevenir posibles ataques informáticos, queremos alertar e informar del aumento de casos de “phishing” durante la campaña de la declaración de renta. ¿y qué esel “phishing”?

El “phishing”, o suplantación de identidad, es el intento de adquirir información confidencial de forma fraudulenta (como puede ser una contraseña, o información detallada sobre tarjetas de crédito, u otra información bancaria).

En estos caso, el estafador -conocido como “phisher”- se hace pasar por una persona o empresa de confianza en una aparente comunicación oficial electrónica, por lo común un correo electrónico, o algún sistema de mensajería instantánea o incluso también mediante llamadas telefónicas.

¿Cómo afecta en la campaña de la declaración de la renta?

Durante este período, los “phishers” envían un falso correo electrónico del Ministerio de Hacienda, con el asunto  Mensajes de devolución de impuestos, en el que envían un enlace que dirige a una página web que contiene un formulario en donde se solicitan los datos de la persona, con la excusa de devolver cierta cantidad de dinero.

En el citado enlace solicitan el nombre, NIF, número de tarjeta, fecha de caducidad, el código PIN y la fecha de nacimiento de la persona, cuando ninguna entidad bancaria, ni organismo oficial, solicita datos de este tipo a través de correo electrónico o formulario.

Recomendación: Si recibe este tipo de correos, elimínelos de la bandeja de entrada y, posteriormente, de la bandeja de correo suprimido.

DETENIDA UNA PERSONA POR BORRAR BASES DE DATOS DE UN HOTEL. Agentes de la Policía Nacional han detenido a una persona como presunta autora de un delito de daños informáticos tras haberse introducido en el servidor de un hotel, cuya base de datos contable fue eliminada, afectando con ello a las nóminas de todos los empleados.

Gracias al análisis forense que fue practicado “in situ” por los investigadores se pudo identificar, y detener, al presunto autor de los hechos, que resultó ser un ex-trabajador del establecimiento (recientemente despedido) y que en dependencias policiales reconoció haber accedido remotamente al servidor del hotel desde su domicilio particular.

PREVENCIÓN BLANQUEO CAPITALES

 IDENTIFICACIÓN FORMAL DE CLIENTES. Desde 1993 las entidades financieras tenían la obligación de obtener y conservar la copia del DNI de sus clientes. En la Ley de 10/2010 se estableció de forma expresa que esa conservación tenía que realizarse en soporte electrónico para evitar que se perdiera. En 2010 se dio a las entidades un plazo de 5 años (que expira este próximo 30 de abril) para que tuvieran esa documentación digitalizada.

Por lo que parece, a algunas entidades “les ha pillado el toro” con los plazos y ahora andan, muy a última hora, remitiendo a sus clientes cartas o comunicaciones para que pasen por sus oficinas a mostrar su DNI para poder digitalizarlo (es obligación de la entidad la identificación, no del cliente). Aunque también te ofrecen la posibilidad de que se lo remitas digitalizado a una cuenta de correo que te facilitan en la comunicación. En juego está el tener que bloquear automáticamente la cuenta no identificada a partir del 1 de mayo (que se desbloqueará, de igual modo, previa identificación formal).

Atentos al posible “phishing” de los listos de turno, aprovechando el momento:

Tu entidad financiera NO pedirá que confirmes tu número de cuenta ni la contraseña de acceso: te indicará -si ese es tu caso- que te persones en la oficina para mostrar tu DNI para su digitalización (o que se lo remitas digitalizado a su cuenta de correo).

INVESTIGACIONES DEL SEPBLAC EN 2014. España investigó 4.637 casos de blanqueo de capitales en 2014, un 15 % más que en 2013, siendo la mayoría de los asuntos abiertos por el SEPBLAC originados por las comunicaciones de operativa sospechosa (4.508). Al margen de las entidades financieras, la principal aportación al sistema de prevención proviene de las comunicaciones de notarios (288) y de los registradores (147).

Por otro lado, en los procedimientos iniciados por el incumplimiento de obligaciones de declaración de movimiento de dinero en efectivo, se intervinieron fondos no declarados por un valor de 38 millones y se tramitaron 659 expedientes, que dieron origen a sanciones por importe superior a 28 millones.

COMPLIANCE

 REFORMA CÓDIGO PENAL Y COMPLIANCE. A modo de primer avance, éstas son algunas de sus concreciones:

1- La responsabilidad penal queda limitada a las personas jurídicas, sólo a los supuestos en los que el incumplimiento del deber de vigilancia haya tenido carácter ”grave” (en el caso de delitos cometidos por sus dependientes cuando existe una infracción del deber de supervisión sobre los mismos).

2- El que se cuente con un programa de prevención (programa de compliance penal), que puede conducir a una reducción significativa del riesgo de comisión de delitos, puede ser causa de exención de la responsabilidad penal de la persona jurídica; pero habrá que tener en cuenta los requisitos que deberá cumplir ese modelo:

-Identificar las actividades en cuyo ámbito puedan ser cometidos los delitos que deben ser prevenidos.

-Establecer los protocolos o procedimientos que concreten el proceso de formación de la voluntad de la persona jurídica, de adopción de decisiones y de ejecución de las mismas con relación a aquéllos.

-Disponer de modelos de gestión de los recursos financieros adecuados para impedir la comisión de los delitos que deben ser prevenidos.

-Imponer la obligación de informar de posibles riesgos e incumplimientos al organismo encargado de vigilar el funcionamiento y observancia del modelo de prevención.

-Establecer un sistema disciplinario que sancione adecuadamente el incumplimiento de las medidas que establezca el modelo.

-Realizar una verificación periódica del modelo y de su eventual modificación cuando se pongan de manifiesto infracciones relevantes de sus disposiciones, o cuando se produzcan cambios en la organización, en la estructura de control o en la actividad desarrollada que los hagan necesarios.

3- Se prevé la existencia de un órgano de supervisión y control (compliance officer) del modelo de prevención implantado.

RESUMEN NOTICIAS MARZO 2015

¿ ADAPTARSE A LA NORMATIVA DE PROTECCIÓN DE DATOS ? ¿… PARA QUÉ?.

TXABI4  Artículo de Xavier ALBERT – Director Comercial

De entre todas las múltiples obligaciones normativas a cumplir por empresas y profesionales, la de “protección de datos personales” es quizá de las más conocidas (de nombre al menos)… y de las más desconocidas.

Sí porque, quien más quien menos -aunque no sea directivo de una empresa- ha oído hablar “de la LOPD”. A todos nos suena haber visto esos cartelitos de “zona vídeo vigilada: de acuerdo a la normativa de protección de datos personales le informamos…”; todos, en algún momento, hemos firmado -y aceptado, normalmente sin leerlo- un aviso legal de protección de datos; a quien más quien menos en su empresa “le han hecho firmar algo”…

Pero, realmente, esto de la protección de datos… ¿ qué es ?.

La conocida popularmente como LOPD (Ley Orgánica 15/1999, de 13 de diciembre y su Reglamento de Desarrollo RD 1720/2007 de 21 de diciembre) es una normativa que protege un derecho fundamental de las personas: el de la protección de sus datos de carácter personal. Este derecho fundamental reconoce al ciudadano la facultad de controlar sus datos personales y la capacidad para disponer y decidir sobre los mismos.

Siendo esto así, las empresas deben actuar de manera responsable para garantizar siempre este derecho fundamental y poner en marcha los necesarios mecanismos de control. Para ello, deben adecuarse y cumplir con la normativa.

La LOPD no es un “impuesto revolucionario”, ni una normativa que dificulte o ponga trabas al quehacer del día a día de las empresas; todo lo contrario. Pero siempre que esta adaptación/adecuación sea sólo vista “como un gasto”, no se le acabarán descubriendo ni aprovechando todas las ventajas y los beneficios que aporta.

Por un lado, importante, el de evitar el riesgo a elevadas sanciones económicas por incumplimiento. Pero el cumplir con la normativa le permite también a la empresa el poder establecer unos protocolos de actuación y unos procedimientos para el tratamiento de datos personales de sus empleados, clientes, proveedores… Y para ello, la formación/información a su personal con acceso a datos personales es fundamental.

Y, como siempre, puedes hacer las cosas bien… o hacer un “paripé” para salvar el expediente. De la “implantación de la normativa a coste cero, a cuenta de los créditos de formación“, ya ni hablamos. Con estas cosas no se juega.

Lo suyo es tomar conciencia de la importancia de hacer las cosas bien, y saber rodearse de profesionales que puedan guiar, aconsejar, informar y adecuar a la empresa, hacérselo fácil pero profesionalmente, tanto a nivel jurídico:

  • Inscripción de Ficheros en la AEPD
  • Elaboración del Documento de Seguridad
  • Redacción de los necesarios documentos de legitimación para tratar los datos que la empresa tiene (fichas, cláusulas, contratos, certificados, avisos legales…).
  • Auditorías bienales
  • Formación

como a nivel informático, ya que -aparte de en los soportes documentales en papel- la mayoría de los datos que maneja la empresa están alojados, y están siendo tratados, en soportes tecnológicos (servidores, “cloud”, ordenadores, tablets, smartphones…) y se hace necesario el implementar las medidas técnicas de seguridad efectivas y adecuadas al nivel de datos que la empresa trata. Y el hacer esto también protege a la empresa, a su propia información. En este punto, el tener una buena “Política de Uso de los Recursos Tecnológicos” adquiere una importancia fundamental: hay que redactarla, hacerla llegar a toda la organización y verificar que la misma se hace efectiva. Y todavía más si la empresa dispone de perfil en las redes sociales.

 Para las empresas, su adecuación a la normativa de protección de datos es un beneficio, no una carga.

Xavier ALBERT

PROTECCIÓN DE DATOS PERSONALES

LA AEPD APERCIBE  A UN AYUNTAMIENTO POR PUBLICAR DATOS. La Agencia Española de Protección de Datos (AEPD) ha apercibido al Ayuntamiento de Alcalá de Guadaira por la publicación, en 2013, de datos protegidos (número de expediente, DNI, nombre y apellidos de los afectados relacionándolos con deudas por requerimientos sancionadores) de más de 6.000 vecinos del municipio en el Boletín Oficial de la Provincia (BOP), al considerar que el Consistorio incumplió el deber de secreto y  cometió una infracción grave, tipificada como tal en el artículo 44.3.d de la Ley Orgánica de Protección de Datos.

EL SECTOR ENERGÉTICO, UNO DE LOS MÁS SANCIONADOS POR LA AEPD. La Agencia Española  de Protección de Datos (AEPD) impuso en 2014 a la empresa Galp Energía 22 multas, por un total de 594.000€, por utilizar de forma fraudulenta los datos personales de los clientes, suplantando la identidad de algunos de ellos para hacerles abonados sin consentimiento ni conocimiento previo. A Endesa le impuso 13, por 512.000€ en total, por los mimos motivos: dar de alta servicios sin el consentimiento de sus clientes para el uso de sus datos de carácter personal para este cometido.

ESPAÑA SE SITÚA ENTRE LOS PAÍSES QUE TIENEN “UN MEJOR NIVEL DE PROTECCIÓN DE DATOS”. Así lo sostiene el director de la AEPD, José Luis Rodríguez, destacando que España se sitúa entre los países que tienen “un mejor nivel de protección de datos en Europa”, si bien ha remarcado que eso “no quiere decir que tengamos resueltos todos los problemas porque cada día nos enfrentamos a nuevos retos”. En este sentido, ha explicado que “día a día se están poniendo en circulación nuevos servicios y nuevos dispositivos que hacen un uso intensivo de los datos personales”, lo que hace necesario “reforzar las garantías de la protección y mejorar también el nivel de concienciación de los ciudadanos”. Además ha defendido que “las grandes compañías deben informar adecuadamente a los usuarios sobre qué datos recopilan, para qué fines los utilizan y permitir a los ciudadanos ejercitar sus derechos”.

DELITOS INFORMÁTICOS

DETIENEN EN MURCIA AL AUTOR DE UN COMENTARIO HACIENDO APOLOGÍA DEL ODIO Y LA VIOLENCIA SOBRE EL ACCIDENTE DE AVIACIÓN DE LA PASADA SEMANA. Los “ciberagentes” lo detectaron el pasado 24 de marzo cuando se estableció una amplia vigilancia con motivo del accidente aéreo en los Alpes franceses. El joven, de 26 años, escribió un tweet en el que decía: “a ver, a ver, no hagamos un drama, que en el avión iban catalanes, no personas”. El Código Penal, en su artículo 510, tipifica como delito la discriminación, al odio o a la violencia contra grupos o asociaciones, por motivos racistas, antisemitas u otros referentes a la ideología, religión o creencias, situación familiar, la pertenencia de sus miembros a una etnia o raza, su origen nacional, su sexo, orientación sexual, enfermedad o minusvalía, y serán castigados con la pena de prisión de uno a tres años y multa de seis a doce meses.

SEIS AÑOS DE PRISIÓN PARA LOS PIRATAS INFORMÁTICOS QUE OFRECÍAN ENLACES PARA DESCARGAS GRATUITAS DE PERIÓDICOS Y REVISTAS. La Sala de lo Penal de la Audiencia Nacional ha condenado a seis años de prisión a los propietarios de la página web Youkioske, en la que mediante enlaces permitían descargar periódicos, revistas y otros productos de forma gratuita, incurriendo en un delito contra la propiedad intelectual y de pertenencia a un grupo criminal, ambos penados con 3 años de prisión respectivamente. Se trata de una sentencia histórica, ya que supone la mayor condena impuesta en España a piratas informáticos, según fuentes de la Audiencia Nacional. Además de la condena a prisión, la sentencia inhabilita durante cinco años a los condenados para ejercer de administradores de páginas web. También acuerda el decomiso de los beneficios que se ha demostrado obtuvieron: 196.280 €.

PREVENCIÓN DE BLANQUEO DE CAPITALES

OFAC SANCIONA A PAYPAL CON 7,7 MILLONES DE DÓLARES POR VIOLAR LAS SANCIONES RELATIVAS A LA PROLIFERACIÓN DE ARMAS DE DESTRUCCIÓN MASIVA. La oficina de control de fondos extranjeros de Estados Unidos informó el miércoles 25 de marzo que PayPal pagará 7.7 millones de dólares en el acuerdo sancionador con la OFAC, al admitir que infringió las sanciones al comercio contra Irán, Sudán y Cuba. OFAC dijo que el personal de PayPal falló en el seguimiento de seis alertas aparecidas por las transacciones de Kursud Zafer Cire, de nacionalidad turca. Un revisor finalmente levantó la alerta en la séptima transacción y solicitó mayor información del cliente, incluyendo una copia del pasaporte de Cire y su fecha de nacimiento. Como resultado Paypal bloqueó su cuenta. PayPal podría haber sido sancionado con unos 17 millones de dólares por estas violaciones, pues eran escandalosas y demostraban una conducta de desprecio a las sanciones económicas de EEUU, al haber sido incapaz de detectar las infracciones su filtro informático, identificando a Cire como un positivo durante seis meses.

RESUMEN NOTICIAS ENERO 2015

ARTÍCULO: DESTRUCCIÓN DE DOCUMENTACIÓN COMO MEDIDA DE SEGURIDAD, según la LOPD y la norma DIN 66399.  (Sonia Gracia, Abogada).

El principio de seguridad definido en la LOPD y en su reglamento de desarrollo (RLOPD), obliga a los responsables de ficheros a adoptar medidas que garanticen la seguridad de los datos de carácter personal, y eviten accesos no autorizados (art 9.1 LOPD) cuya infracción está tipificada como grave (art 44.3.h LOPD) lo que puede suponer una sanción para el responsable del fichero de hasta  300.000 €.

Este principio se debe aplicar a todas las actividades de un negocio y afecta directamente al modo en que se deben de tratar aquellos soportes – en papel – en los que consten datos de carácter personal, una vez ha concluido su finalidad de recogida y tratamiento. Se debe cumplir con el art. 92.4 del RLOPD que dispone que, siempre que vaya a desecharse cualquier documento o soporte que contenga datos de carácter personal, deberá procederse a su destrucción o borrado mediante la adopción de medidas dirigidas a evitar el acceso a la información contenida en el mismo o su recuperación posterior.

Las consecuencias de errar en este procedimiento se traduce en sanciones para nuestro negocio, además del daño reputacional que conlleva, tal y como ocurrió en los siguientes casos sancionados por la Agencia Española de Protección de Datos:

En el primero de ellos (Resolución 01945/2014) se encontró un vehículo que contenía documentación de una empresa con fotocopias de DNIs y números bancarios, que -a su vez- el propietario del vehículo encontró en un contenedor; la empresa propietaria de la documentación incumplió las medidas de seguridad necesarias, para evitar que los datos de que dispone en formato papel, fuesen desechados correctamente, no dando lugar a su hallazgo por terceros, al haberlos depositado al alcance del público en una zona pública; fue sancionada con 6.000€.

Otro caso reciente (Resolución 02664/2013) es el de la entidad Banco Santander, que fue sancionada también con 6.000€ por depositar en un contenedor de la vía pública documentos con el nombre y apellidos, números de DNI, domicilios, teléfonos, saldos, recibos, vencimientos impagados, créditos hipotecarios, contratos de cuentas a plazo, órdenes de domiciliación de recibos, ingresos netos, datos patrimoniales y laborales, accionistas, fondos de inversión, entradas a dudoso, etc. de sus clientes.

Tal y como establece la última de las resoluciones comentadas, no basta entonces con la adopción de cualquier medida: éstas deben ser las necesarias para garantizar aquellos objetivos que marcan los preceptos mencionados.

Normalmente la destrucción de documentación en soporte papel se puede realizar de dos maneras que garantizan el cumplimiento de las obligaciones LOPD:

-utilizando destructoras de papel, ubicadas en las mismas instalaciones de la empresa, que garanticen que el documento en cuestión queda totalmente destruido e irrecuperable, o

-a través del servicio de empresas especializadas.

Debido a la aparición masiva de dichas empresas, éstas basan su competitividad únicamente en el criterio de precio, y no todas ofrecen garantías del cumplimiento de la LOPD. Por lo tanto, es necesario seguir los siguientes pasos:

1-Elegir diligentemente a la empresa que va a realizar el servicio, para que ofrezca las debidas garantías que cumplan con la LOPD.

La destrucción documental estaba sujeta hasta ahora a la normativa DIN 32757, del Instituto Alemán para la Normalización (DIN) referente a la destrucción de documentos en papel; pero, recientemente, ha surgido otra normativa -la DIN 66399- para la destrucción de soportes con datos, debido a la evolución en los sistemas de registro de la información.

La norma DIN 66399 establece tres posibles categorías de protección, el modo correcto de destrucción de otros soportes que no sean papel (USB, discos extraíbles), y siete niveles de seguridad para presentación de información en formato original. Estos niveles van desde hacer ilegible o invalidar documentos, a tomar medidas extraordinarias; la LOPD no indica el nivel de destrucción que debemos conseguir; por lo tanto, mientras los documentos se hagan ilegibles y se destruyan de forma que invaliden su uso o reconstrucción, es suficiente.

Las tres posibles categorías de protección en las que se encuentran esos niveles se adoptan según el grado de necesidad de protección de los datos, teniendo en cuenta la LOPD en función de si los datos son de nivel básico, medio o alto:

Clase de protección 1: garantiza la protección de datos personales y la no cesión de esos datos.

Clase de protección 2: garantiza la protección de datos personales, la no cesión de esos datos, además de otras medidas extraordinarias.

Clase de protección 3: protección con muy alta exigencia de datos muy confidenciales y secretos, accesibles a un círculo reducido de personas autorizadas, cuyos nombres se desconocen.

2-Formalizar un contrato en base a las especificaciones del art. 12 de la LOPD y 20 a 22 del RLOPD. De acuerdo con el Informe Jurídico 0227/2010 de la AEPD, este tipo de proveedor se considera encargado del tratamiento.

3-Exigir un certificado de destrucción una vez realizado el encargo. 

PROTECCIÓN DE DATOS PERSONALES

 DENUNCIA ANTE LA AEPD TRAS ENCONTRAR CIENTOS DE DOCUMENTOS CON DATOS PERSONALES EN UN CONTENEDOR. El pasado 17 de enero se encontraron cientos de documentos oficiales en un contenedor cercano al Ayuntamiento de San Andrés del Rabanedo (León). Ante la falta de información de un hecho tan grave, Ciudadanos ha presentado una denuncia a la AEPD para que -si lo estima oportuno- abra una investigación y aclare cómo llegaron esos documentos oficiales con datos personales a un contenedor y porqué no se ha seguido el protocolo de destrucción de los documentos oficiales de las administraciones públicas. Para más información puede acudir a nuestro artículo analizando los puntos más importantes de la destrucción de documentación al inicio de estas noticias.

 ESPAÑA CREARÁ UN FICHERO DE VIAJEROS DE AVIÓN PARA DETECTAR A YIHADISTAS, QUE LA AEPD CONSIDERA DESPROPORCIONADO. El director de la AEPD, José Luis Rodríguez, ha asegurado que la creación de un fichero de viajeros (llamado Passenger Name Record – PNR) tras los ataques yihadistas sucedidos en Francia, suscita muchas dudas sobre su eficacia para este tipo de terrorismo y comporta una desproporcionada injerencia en la vida privada de todos los viajeros. Para la AEPD, al recopilar todos los datos de la reserva del viaje se puede conocer el teléfono, el correo electrónico, el domicilio, el número de la tarjeta de crédito o la identidad de los acompañantes en el viaje; éste es un hecho desproporcionado, que no tiene porqué ser efectivo para la lucha antiterrorista.

LA AUDIENCIA NACIONAL APLICA LA DOCTRINA EUROPEA SOBRE EL DERECHO AL OLVIDO. La Sección Primera de la Sala Contencioso-Administrativa ha dictado 18 sentencias, en 14 de las cuales desestima los recursos de Google, reconociendo el derecho de los particulares. La cancelación de datos, según la Audiencia Nacional, estará justificada cuando las circunstancias de cada caso concreto así lo determinen, ya sea por la naturaleza de la información, su carácter sensible para la vida privada del afectado, por la no necesidad de los datos en relación con los fines para los que se recogieron o por el tiempo transcurrido, entre otras razones.

 COMERCIO ELECTRÓNICO

 EL IVA APLICADO A LAS VENTAS ON-LINE SERÁ EL DEL PAÍS DEL COMPRADOR. Con el cambio de año, según Directiva europea, el IVA que se aplique a las compras de productos por comercio electrónico será el del país de origen del comprador. Es decir, los compradores españoles pagarán un IVA del 21% (o el que corresponda en cada caso al artículo adquirido) en sus adquisiciones, con independencia de cuál sea el lugar en el que reside la empresa vendedora, como sucedía hasta ahora. Dicha Directiva, a la que se denomina de forma informal “Tasa Amazon” (porque el gigante del comercio electrónico será uno de los más afectados), encarecerá especialmente los libros digitales, aunque afecta también a aplicaciones para móviles, contenidos DLC, juegos digitales, música o servicios de alojamiento web, entre otros bienes digitales.

 DELITOS INFORMÁTICOS

 LOS DELITOS MÁS COMUNES EN ESPAÑA son el fraude y las amenazas, aunque según advierte una de las responsables de la unidad de fraudes informáticos de la Policía Nacional, a través de Internet se puede cometer casi cualquier crimen que antes se debía producir físicamente. El año pasado se registraron más de 42.000 delitos informáticos y más de la mitad fueron fraudes o estafas. No existe un perfil concreto de víctima, dado que los delincuentes buscan robar al mayor número de personas.

PREVENCIÓN DE BLANQUEO DE CAPITALES

 GRAN OPERACIÓN POLICIAL CONTRA EL BLANQUEO DE CAPITALES EN ESPAÑA Y FRANCIA. Un total de 35 personas han sido detenidas en Cataluña y Andalucía, acusadas de blanquear en España dinero obtenido por la venta de vehículos de alta gama en Francia e Italia. Esta red habría defraudado unos 20 millones de euros por el impago de IVA en la compraventa de estos vehículos, según fuentes de la investigación, que han explicado que el grupo los compraba en Alemania, Eslovenia, Rumanía y Bulgaria, y los vendía después en Francia e Italia sin pagar el IVA correspondiente, en lo que los especialistas denominan un “fraude carrusel“, con la utilización de un entramado de empresas.

RESUMEN NOTICIAS DICIEMBRE 2014

PROTECCIÓN DE DATOS PERSONALES

LA AUDIENCIA NACIONAL CONFIRMA MEDIANTE SENTENCIA LA MULTA A CARREFOUR-LUGO POR DESTRUIR HISTORIAS CLÍNICAS DEL PERSONAL. Carrefour-Lugo ha sido condenada a pagar 20.000 euros por destruir las historias clínicas de 22 de sus trabajadores que reclamaron esa documentación. La empresa incurrió en una infracción del artículo 4.5 de la Ley Orgánica de la Protección de Datos que obliga a conservar los datos personales hasta que éstos hayan dejado de ser necesarios para la finalidad con la que fueron recabados.La empresa manifestó que cuando acabó la prestación del servicio de atención médica al personal efectuado por una empresa, el archivo de las historias clínicas y el equipo informático quedaron custodiados por la jefa de recursos humanos a la que le entregaron las llaves del archivo y que posteriormente fueron eliminados. El fallo de la AN establece que las historias debieron conservarlas como mínimo cinco años, y recuerda que el servicio de salud laboral prestado a los trabajadores desde el año 1993 hasta el 2010 dio lugar a que se generase un expediente por cada trabajador que contenía copia de los actos médicos.

LA AGENCIA ESPAÑOLA DE PROTECCIÓN DE DATOS (AEPD) SANCIONA CON 50.000 EUROS A “EL COBRADOR DEL FRAC” Y A GESTIÓN Y RECUPERACIÓN M-1. Ya que El Cobrador del Frac colocó un papel en el portal del acreedor al que reclamaba la deuda, domiciliado en Valencia, en el que se desvelaba su situación de morosidad, cometiendo así   una infracción al artículo 9 de la Ley Orgánica de Protección de Datos (LOPD), que garantiza la adopción de las medidas necesarias para salvaguardar los datos de carácter personal y evitar su alteración, pérdida, tratamiento o acceso no autorizado.

LA AEPD INICIA UN PROCEDIMIENTO CONTRA EL MINISTERIO DEL INTERIOR AL DETECTAR IRREGULARIDADES EN LAS CÁMARAS DE SEGURIDAD DE INSTITUCIONES PENITENCIARIAS. En concreto, el expediente analiza la presunta infracción del artículo 5 de la LOPD y de la Instrucción 1/2006 de la AEPD, que obliga a colocar, en la zonas video vigiladas, carteles informativos ubicados “en lugar suficientemente visible” y a tener a disposición de las personas que pudieran resultar grabadas impresos con la información relacionada con sus derechos en este sentido, cosa que no se produce en muchos centros penitenciarios, captando imágenes de forma irregular de trabajadores, presos y visitantes.

EL TRIBUNAL SUPREMO DA DERECHO A LOS PADRES DE UNA JOVEN FALLECIDA A ACCEDER A SU TELÉFONO MÓVIL para defender sus intereses y averiguar la identidad de uno de los traficantes de droga. Así lo recoge la sentencia en la que confirma las penas de cárcel que la Audiencia Provincial de Baleares impuso a siete acusados de inducir a varias menores de edad, una de ellas discapacitada psíquica, a prostituirse a cambio de dinero y drogas. La Sala de lo Penal considera una prueba lícita los mensajes SMS aportados por los padres de la joven y que fueron obtenidos de su teléfono una vez fallecida. Los magistrados asimilan las copias de estos mensajes con la correspondencia y entienden que su acceso no vulnera el derecho a la intimidad ni al secreto de las comunicaciones.

DELITOS INFORMÁTICOS

 LOS DELITOS INFORMÁTICOS MÁS COMUNES. “Algunos quieren engañarte, y no solo el Día de los Inocentes, #nopiques”. Bajo este lema, la Policía Nacional ha lanzado una campaña con la que pretende alertar a los ciudadanos de los fraudes más frecuentes que circulan por la red. El servicio de mensajería instantánea WhatsApp se posiciona como el soporte ideal para los “timos 2.0” para la distribución de malware cuyo fin es la obtención de beneficios mediante el engaño al usuario. Mensajes con las falsas promesas de espiar números ajenos o aplicaciones fraudulentas que aseguran, por ejemplo, eliminar el “doble check” azul (antes de que no fuera posible desde la aplicación oficial), son los ganchos más habituales, así como ofertas de empleo que “obligan” a pagar algún trámite o curso previo.

PREVENCIÓN DE BLANQUEO DE CAPITALES

 EL SEPBLAC RECIBE UN 75% MÁS DE COMUNICACIONES POR INDICIOS DE BLANQUEO DE CAPITALES. Las entidades de pago que operan en España comunicaron en 2013 un total de 755 comunicaciones por indicios de blanqueo al Servicio Ejecutivo de la Comisión de Prevención del Blanqueo de Capitales (SEPBLAC). Según la última memoria de la organización, esta cifra representa un aumento de casi el 75% con respecto a las 432 comunicaciones presentadas en el año 2012. Este crecimiento, explica la Sepblac, se debió a la “mayor sensibilización” de las principales entidades que integran el sector.

RESUMEN NOTICIAS NOVIEMBRE 2014

PROTECCIÓN DE DATOS PERSONALES

LA AEPD APERCIBE AL GRUPO PARLAMENTARIO DEL PSOE POR DIFUNDIR DATOS DE CARÁCTER PERSONAL. Al enviar una nota de prensa a unos 500 medios con un documento en el que figuraban nombres, DNI, sueldos y cuotas de afiliación de otros militantes y trabajadores del Partido Popular. La AEPD entiende que el Grupo Parlamentario Socialista en el Congreso cometió una infracción grave de la LOPD que de ser una entidad privada estaría obligada a pagar entre 40.001 a 300.000 euros de sanción. Según la AEPD se entiende que esa medida fue desproporcionada de cara al carácter informativo de documento y que se podría haber disociado datos de personas no relevantes.

LA UNIÓN EUROPEA EXIGE A GOOGLE QUE SE AMPLÍE EL EJERCICIO DEL DERECHO AL OLVIDO. El grupo de trabajo del artículo 29 de la Unión Europea (UE) sobre privacidad ha instado a Google a aplicar el derecho al olvido más allá de los dominios europeos y tiene que ser también efectiva en todos los dominios ‘.com’ relevantes.Entiende que es necesario para garantizar por completo los derechos de los afectados, ya que limitar la exclusión (de los resultados de búsqueda) a los dominios europeos no puede considerarse como un medio suficiente para garantizar de manera satisfactoria los derechos de los interesados.

FACEBOOK CAMBIA SU POLÍTICA DE PRIVACIDAD. Facebook notificó a millones de sus usuarios sobre un nuevo cambio en su política de privacidad que incluye modificaciones en la recogida de datos y el seguimiento de la actividad dentro de la plataforma para enviar publicidad segmentada por intereses. Todos los cambios se aplicarán a partir del 1 de enero de 2015 a los usuarios que posean una cuenta en Facebook o en otros productos y servicios de la compañía, como puede ser la aplicación de mensajería para móviles “Messenger”. En cuanto al tipo de información que se recopilará, se destacan los datos incluidos en el contenido que proporcionas o relacionados con él, como el lugar donde se hizo una foto o la fecha de creación de un archivo. También recopilará información sobre el uso que se hace de los servicios; por ejemplo, el tipo de contenido que el usuario ve o con el que interactúa, o la frecuencia y la duración de sus actividades.

DELITOS INFORMÁTICOS

APARECE UNA WEB RUSA CON ACCESO A CÁMARAS WEB HACKEADAS DE ORDENADORES PORTÁTILES. Miles de enlaces a imágenes de videocámaras, cámaras de vigilancia o incluso monitores para bebés de decenas de países y territorios han aparecido en un sitio web administrado desde Rusia. Insecam (que es como se llama la página), refleja imágenes de todas partes del mundo. Desde EEUU a Australia, pasando por Francia, Alemania, Holanda, China, Japón y por supuesto también España, donde se reflejan 378 cámaras, la mayoría de ellas en Madrid. En las imágenes se puede ver a hombres y mujeres en sus casas, niños durmiendo o empleados trabajando en distintos establecimientos. Todos ellos sin saber que están siendo espiados. Entre las medidas de seguridad a tener en cuenta para proteger nuestra webcam se encuentra la de leerse las instrucciones y cambiar las claves. Después conviene restringir quién puede y quién no acceder al streaming desde la red. Además, es necesario informarse si han salido vulnerabilidades que hayan podido afectar al fabricante de nuestra cámara de vídeo.

PREVENCIÓN DE BLANQUEO DE CAPITALES

 SANCIONAN A UNA ENTIDAD BANCARIA POR NO INFORMAR DE OPERACIONES SOSPECHOSAS. El Consejo de Ministros ha sancionado a una entidad bancaria con 150.000 euros y 960.000 euros, por incumplimiento del deber de comunicar una operación de blanqueo de capitales o de posible financiación del terrorismo. Además de esta sanción, el Gobierno también procedía a la inhabilitación de dos empleados, que no podrán desarrollar su función dentro de la entidad financiera. El Tribunal Supremo resalta que se trató de movimientos de fondos con cheques al portador que se facturaban en empresas instrumentales, creadas expresamente para cobrar devoluciones de impuestos. La entidad se excusó en que se trataba de dos abogados, que eran clientes habituales de la entidad, que dirigían una importante empresa de inversores en Ibiza, por lo que nunca sospecharon que se dedicaran al blanqueo de capitales. Por ello, no informaron a las autoridades de dichas operaciones. Esta afirmación no es eximente de cumplir con la normativa de prevención de blanqueo de capitales y financiación del terrorismo.

RESUMEN NOTICIAS OCTUBRE 2014

PROTECCIÓN DE DATOS PERSONALES

EL TRIBUNAL SUPREMO DESTACA EN UNA NUEVA SENTENCIA LA PROTECCIÓN DE LAS DIRECCIONES IP. El Tribunal rechaza la petición de Promusicae de recopilar información de sus direcciones IP sin consentimiento de sus titulares para sus reclamaciones legales sobre protección intelectual. La sentencia viene a confirmar la decisión de la Audiencia Nacional en septiembre de 2011 que establece que Promusicae no está eximida del deber de informar a los usuarios de redes P2P sobre el tratamiento de sus datos que establece la Ley Orgánica de Protección de Datos.

UPYD PROPONE QUE LA AEPD CONTROLE DE FORMA CONCRETA LOS DATOS PERSONALES QUE OBTIENEN LAS APLICACIONES MÓVILES. UPyD ha registrado una iniciativa en el Congreso en la que insta al Gobierno a exigir a la AEPD que fiscalice la forma de obtención de datos personales, así como la utilización que le dan a los datos personales que recaban las aplicaciones móviles más descargadas en la tienda de aplicaciones de Apple y Google de manera trimestral. A su vez, propone al Gobierno que garantice que el desarrollador de la aplicación móvil o red social no continúe utilizando datos personales del usuario después de que éste cierre su perfil o cuenta en la red social o desinstale una aplicación móvil, o tras una inactividad prolongada en el tiempo de forma ininterrumpida de seis meses o superior.

LA AEPD PRESENTA SU MEMORIA 2013. La Memoria 2013  recoge la actividad y el funcionamiento de las distintas áreas de la institución, las tendencias más destacadas en materia de protección de datos, las decisiones y procedimientos más relevantes, y un completo análisis de los desafíos para la privacidad, tanto presentes como futuros, destacando que en 2013 se ha afianzado el número de denuncias y reclamaciones presentadas ante la AEPD, situándose en 10.604 las peticiones realizadas en 2013 frente a las 10.787 de 2012. Y en cuanto a los ámbitos de actividad con mayor número de actuaciones de investigación, en primer lugar se encuentra el sector de las telecomunicaciones (2.256 actuaciones previas iniciadas) seguido de las entidades financieras (1.566) y de la videovigilancia (918) como datos a destacar entre otros.

 LA AGENCIA CATALANA DE PROTECCIÓN DE DATOS (APDCAT) ABRE UN EXPEDIENTE SANCIONADOR AL INSTITUT CATALÀ DE LA SALUT (ICS). Este expediente se ha abierto tras la denuncia de una persona, el pasado 9 de mayo, que acudió al Hospital del Vall Hebrón, que tuvo acceso a un documento de transporte en ambulancia con todos los datos personales de otra paciente junto a otros formularios en una mesa informativa. La APDCAT solicitó tras la denuncia información al hospital y se interesó por el procedimiento que se sigue en dicho centro para tramitar las solicitudes de transporte sanitario, cuántos originales se emiten de las solicitudes y a cuántas personas se les entrega. La Autoritat entiende que el ICS podría haber cometido una infracción de la ley de protección de datos al ser responsable de preservar el fichero de pacientes de los hospitales adscritos al ICS “y permitió que el 4 de mayo de 2014 terceras personas accediesen a un documento que contenía datos personales, algunos de ellos especialmente protegidos”.

 DELITOS INFORMÁTICOS

DOS DETENIDOS POR SUPLANTAR LA IDENTIDAD DE UNA CONCEJALA EN TWITTER. La Policía Nacional ha detenido en Segovia a dos hombres de 23 y 24 años por un presunto delito de injurias graves con publicidad a través de Internet, ya que éstos crearon supuestamente un perfil falso de la concejala del Ayuntamiento de Valladolid, Ángela Bachiller, en la red social Twitter y con un uso muy extendido utilizando datos personales suyos así como una fotografía. Las injurias graves hechas con publicidad se castigan con la pena de multa de seis a catorce meses y, en otro caso, con la de tres a siete meses, mientras que el delito de usurpación de identidad puede ser castigado con la pena de prisión de seis meses a tres años.

PREVENCIÓN DE BLANQUEO DE CAPITALES

LA EMPRESA CANARIA JESUMAN HA VULNERADO AL MENOS EN OCHO OCASIONES LA LEY DE PREVENCIÓN DEL BLANQUEO DE CAPITALES Y DE LA FINANCIACIÓN DEL TERRORISMO. Así lo confirma la Sala de lo Contencioso de la Audiencia Nacional en una sentencia. En septiembre de 2012, la Secretaría General del Tesoro y Política Financiera se reafirmó en su decisión de sancionar a Comercial Jesuman por haber cometido hasta ocho infracciones graves tipificadas en la ley 10/2010, de 28 de abril, de prevención del blanqueo de capitales y de la financiación del terrorismo. En concreto, la empresa canaria había incumplido la obligación de declarar determinados movimientos de medios de pago, en este caso movimientos monetarios. El 29 de abril de 2010 había movido sin declarar la cantidad de 200.000 euros; un día después movió 322.000 euros; el 28 de mayo de ese mismo año, 347.000; el 1 de junio, medio millón; el 25 de junio, 240.000 euros más; y el 25 de noviembre, otros 330.620 euros. Además, el grupo que aglutina a firmas del sector de los supermercados como Alteza o La Hucha ya había hecho lo mismo en 2009 en otras dos ocasiones: el 25 de noviembre (200.000 euros) y el 28 de diciembre (prácticamente 600.000 euros).

 

APROBADA LA NUEVA “ L.P.I. “

El pleno del Congreso de los Diputados ha aprobado hoy jueves día 30 de noviembre, definitivamente, la reforma de la Ley de Propiedad Intelectual tras incorporar las enmiendas del Senado. Entrará en vigor el próximo 1 de Enero de 2015.

Entre otras singularidades cabe destacar:

–          La denominada “tasa Google”, que ya se ha comentado anteriormente.

–          Mantiene, de forma transitoria, el pago de la compensación por copia privada, que sustituyó al antiguo canon digital.

–          Amplía el plazo de protección de los derechos de los artistas, intérpretes o ejecutantes y de los productores de fonogramas, de 50 a 70 años.

–          Establece multas de hasta 600.000 euros para las web que tengan como principal actividad facilitar de manera específica y masiva la localización de contenidos ofrecidos ilícitamente de forma notoria e incumplan los requerimientos de retirada de los contenidos declarados infractores.

–          Permite la utilización gratuita de pequeños fragmentos de obras u obras aisladas de carácter plástico o fotográfico para ilustrar la enseñanza reglada (universitaria y no universitaria) y la investigación.

–          Se regula un cuadro de infracciones y sanciones ante responsabilidades administrativas de las entidades de gestión por incumplimiento de sus obligaciones legales.

–          Se establece para las entidades de gestión un sistema de recaudación de ventanilla única como medio de facturación y pago.

RESUMEN NOTICIAS SEPTIEMBRE 2014

PROTECCIÓN DE DATOS PERSONALES

AUTORIDADES EUROPEAS EMITEN UN DICTAMEN ADVIRTIENDO EL PELIGRO DE LOS DISPOSITIVOS “PONIBLES”. Las Autoridades europeas de protección de datos (Grupo de Trabajo del Artículo 29) han aprobado el primer Dictamen conjunto sobre internet de las cosas. El documento, cuya elaboración ha sido liderada por la Agencia Española de Protección de Datos junto con la Autoridad francesa (CNIL), plantea tres escenarios: la tecnología para llevar puesta (wearable computing), los dispositivos móviles que registran información relacionada con la actividad física de las personas, y la domótica (detectores, termostatos y sensores conectados en oficinas y hogares). Un ejemplo destacado en el dictamen se refiere a los datos que puede recoger el acelerómetro o el giroscopio de un teléfono “inteligente” y que podrían ser utilizados por otros para obtener información sobre hábitos de conducción del individuo.

LA AEPD INVESTIGA LA CESIÓN IRREGULAR DE DATOS DE CARÁCTER PERSONAL DE PACIENTES A CLÍNICAS PRIVADAS. Tras la denuncia de FACUA se han ido conociendo cada vez más casos de hospitales públicos que ceden los datos de pacientes a clínicas privadas, sin el consentimiento previo de aquellos, para que les ofrezcan sus servicios. La Agencia Española de Protección de Datos (AEPD) contará con 12 meses para resolver los supuestos casos de cesión irregular de datos de pacientes en hospitales públicos y privados, según han explicado fuentes de este organismo. La Agencia ya había iniciado de oficio actuaciones previas para investigar los casos ocurridos en el Hospital de Fuenlabrada y en el Virgen de la Luz de Cuenca.

LA AUDIENCIA NACIONAL CONFIRMA LA SANCIÓN DE 60.000 EUROS IMPUESTA POR LA AEPD A CAJASUR. La sala de lo Contencioso de la Audiencia Nacional ha desestimado el recurso de Cajasur contra la resolución de la AEPD por la que le sancionaba con 60.000 euros al incluir los datos personales de dos clientes en las bases de datos de morosos (ASNEF). La decisión de la Audiencia Nacional se sustenta en que Cajasur incumplió la LOPD al no requerir el pago a sus deudores previamente a facilitar sus datos a los ficheros de morosidad.

 LAS AUTORIDADES DE PROTECCIÓN DE DATOS DE LA UE COMPROBARON DEL 15 AL 19 DE SEPTIEMBRE DE 2014, SI LAS WEBS SE HAN ADAPTADO A LA NUEVA NORMATIVA DE COOKIES. Denominada como la European Cookie Sweep o caza de cookies, se ha llevado a cabo con el fin de monitorizar y evaluar el cumplimiento con la normativa de cookies (Directiva). Las autoridades accedieron a sites para comprobar el cumplimiento con la Directiva en materia de cookies, poniendo el foco de atención en el seguimiento de cómo se está obteniendo el consentimiento del usuario para el uso de las cookies y en qué medida a dichos usuarios se les provee de medios funcionales para poder rechazar las cookies. Durante esta “caza” (o “barrida” en su traducción literal), no está claro cómo procederán las autoridades ante los descubrimientos de incumplimiento que realicen. Por el momento, la Autoridad Francesa de Protección de Datos (CNIL), ha publicado que iniciará auditorías formales este mes de octubre, basadas en parte en los resultados de esta “barrida o sweep”.

 DELITOS INFORMÁTICOS

 SUPLANTAN LA IDENTIDAD DE UNA EDIL EN ELCHE. La Unidad de Delitos Tecnológicos de la Policía Nacional está investigando una suplantación en Facebook de la identidad de la edil Cristina Martínez. La exconcejal del Partido Popular denunció que surgieron varias páginas destinadas a desprestigiarla, una de ellas incluyendo conversaciones en su nombre. Según las investigaciones, en el plazo de un mes se pretende haber obtenido de Facebook la dirección IP del ordenador desde donde se construyeron las páginas denunciadas, para poder imputar el delito de suplantación de identidad a sus autores.

 PREVENCIÓN DE BLANQUEO DE CAPITALES

 UN MILLÓN DE EUROS DE MULTA A BANKINTER POR NO APLICAR MEDIDAS PARA PREVENIR EL BLANQUEO DE CAPITALES. La Audiencia Nacional ha confirmado la multa de 1,2 millones de euros impuesta a Bankinter por no vigilar con suficiente celo operaciones sospechosas de blanqueo de capitales que realizaban clientes marroquíes y mauritanos en una de sus sucursales en Las Palmas de Gran Canaria. La sanción, ahora ratificada por la Audiencia, fue dictada por el Ministerio de Economía en julio de 2011, a raíz de la inspección del Servicio Ejecutivo de la Comisión de Blanqueo de Capitales (Sepblac). La sentencia constata que, cuando se cursó esa inspección, el 84,3% de todos los ingresos en efectivo que había recibido Bankinter en el primer trimestre de 2009 (22 millones de euros) procedían de Marruecos (el 44,6%) y Mauritania (39,7%).